lstio的透明代理相关问题

原创 已于 2024-12-23 09:42:38 修改 · 565 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#istio

于 2024-12-22 16:44:05 首次发布

1. listio有两种代理模式,REDIRECT和TPROXY。如果想配置,可以参考:

Sidecar 的注入与透明流量劫持,里面也详细讲解了使用时的性能问题等方面

2. REDIRECT其实对http请求来说,是足够的。因为lstio会在header头X-Forwarded-For设置src的ip地址。

3. 需知道。listio其实有两种部署使用情况,一种时当作sidecar。另外一种是直接当作loadbalance单独部署的。

如果从外部直连sidecar的使用来考虑,其实使用iptables结合mark的功能就足够了。

但是如果当作单独loadbalance(不是作为side-car部署),或者其实是从loadbalance过来的,其实ip地址已经被lb给改掉了。

因为side-car部署的时候,因为tproxy没有更改srcip,然后在listio发送给本机的dst程序时,因为使用的是ip_transparent,可以指定srcip。指定srcip还是original_src_ip。因此则种情况下无需使用到Proxy Protocol

此时需要代码能支持Proxy Protocol才可能在tcp的lb上获取到src的ip地址。

因此,这也是listio的TPROXY模式支持Proxy Protocol的原因。而且这样的话,其实业务代码也需要支持Proxy Protocol,才能获取到原始ip地址

4. Istio 中实现客户端源 IP 的保持 - 腾讯云原生 - 博客园

5. https://juejin.cn/post/7395189356671549480

5.1 结合:Istio的流量劫持和Linux下透明代理实现 | C0reFast记事本来看

4和5解释了底层实现原因和为什么

6. 负载均衡负载均衡-获取真实源IP地址获取ip的办法

7. lstio 可以从Istio / Demystifying Istio's Sidecar Injection Model看到,使用init方式初始化lstio的时候,是可以配置透明代理的模式是redirect还是tproxy的。和1相对应起来

8.但是lstio现在推荐使用lstio cni进行安装。而不是用init初始化方式安装。此时配置redirect还是tproxy的方法是:

https://istio.io/latest/docs/setup/additional-setup/cni/

这里面写的IstioOperator对应的spec下的内容不全。

从https://istio.io/latest/docs/setup/additional-setup/cni/可知IstioOperator下只有几个element。

但是其实不是的。从Istio / IstioOperator Options可以知道IstioOperator类型的spec下可以有meshConfig这个element。

meshConfig这个element下有的元素要到Istio / Global Mesh Options找。这里面有interceptionMode。类型可以是REDIRECT/TPROXY。

也就是在meshConfig.defaultConfig.interceptionModd中写好。用cni进行安装

9.如果是http。其实设置http_proxy/https_proxy环境变量,就可以做到linux下的http代理

10.使用Nginx进行SNI分流并完美和网站共存 - Xiaomage's Blog

后端nginx使用set_real_ip_from获取用户真实IP_set real ip from-CSDN博客

可以学习到nginx可以通过配置set_real_ip_from和real_ip_header。通过proxy协议获取来源的ip地址

silver9886
关注
《云原生之Kubernetes实战》基于Kubernetes+lstio实现灰度发布
君逍遥o
03-08 313
当你在 Kubernetes 集群中部署业务时,可以利用 Kubernetes 原生提供的灰度发布的方式去上线业务。这种方式是通过在旧版本和新版本的服务之间,定义一个差异化的 Label,根据不同版本之间的公共 Label 负载流量到后端 Pod,最终实现根据 Pod 的副本数控制流量的百分比。
AI系统Istio原理与代码实战案例讲解
AI天才研究院
06-20 1014
AI系统Istio原理与代码实战案例讲解 1. 背景介绍 1.1 服务网格的兴起 在现代微服务架构中,服务之间的通信变得越来越复杂。为了应对这种复杂性,服务网格(Service Mesh)应运而生。服务网格是一种基础设施层,它负责处
一文读懂服务网格之lstio
武天旭的博客
12-26 2726
Istio是一款微服务管理框架,也被认为是服务网格的代表实现,由Google、IBM、Lyft联合开发的开源项目。架构图如下:Istio架构的设计类似软件定义网络(SDN),主要分为控制平面和数据平面两个部分,其中数据平面由一组代理组成并以Sidecar的形式部署在服务旁,这些代理负责管理服务间的所有网络通信;控制平面用于对数据平面的代理进行管理和配置。这种设计的好处有很多,首先无需更改业务容器代码,从而可以最大程度的透明化使应用程序对代理注入无感知;
devops学习:lstio详解
qq_40986046的博客
04-24 811
lstio提供简单的方式来建立已部署的服务的网格,具备了负载均衡,服务到服务认证,监控等功能,有了lstio,你的服务就不需要任何微服务开发框架(spring cloud,dubbo),也不需要自己手动实现各种复杂的服务治理功能,只要服务的客户端和服务端可以进行简单的直接网络访问,就可以通过网络层委托lstio,从而获取一些列的完整功能。提供强大的服务到服务和终端用户认证,使用交互TLS,内置身份和凭据管理,可用于升级服务网格中的未加密流量,并为运维人员提供基于服务身份而不是网络实时策略的能力。
lstio流量治理
Gong_yz的博客
03-20 641
流量管理:Istio 的流量路由规则可以让您轻松地控制服务之间的流量和 API 调用;可观测性:Istio 为服务网格内的所有通信生成详细的遥测数据。这种遥测技术提供了服务行为的可观测性,使运营商能够排除故障、维护和优化其应用;安全性能:微服务有特殊的安全需求,包括防止中间人攻击、灵活的访问控制、审计工具和相互的 TLS。 Istio 包括一个全面的安全解决方案,使运营商能够解决所有这些问题
istio 简介
看,未来的博客
05-31 5147
文章目录什么是 istioistio 解决了什么痛点?总结istio 的解决方案流量管理安全性可观察性平台支持 什么是 istio? 讲多了记不住,那就:服务网格 + 微服务治理。 istio 解决了什么痛点? 了解Istio得从微服务架构谈起,微服务是在2012年提出的概念,其根本思想是通过拆分原则,希望一个服务只负责业务中一个独立的功能,这样任何一个需求不会因为发布或者维护而影响到不相关的服务,所有服务都可以做到独立部署运维,当然这也只是微服务架构给我们带来的好处之一。 但是: 首先,原来的单个应用
tproxy_Linux使用TPROXY进行UDP的透明代理
weixin_39820437的博客
12-20 2942
1.为什么使用TPROXY才能代理UDP在进行TCP的代理时,只要在NET表上无脑进行REDIRECT就好了。例如使用ss-redir,你只要把tcp的流量redirect到ss-redir监听的端口上就OK了。但是当你使用这种方法的时候,就会不正常,因为对于UDP进行redirect之后,原始的目的地址和端口就找不到了。这是为什么呢?ss-redir的原理很简单:使用iptables对PRERO...
笔记:Istio & 组件 基础概念学习
wifiiii的博客
02-26 5322
文章目录1. Istio是什么?1.1 读音1.2 简介1.3 服务网格是什么?1.4 为什么使用Isito?1.5 Istio 是如何诞生的?1.6 为什么我想用 ISTIO?1.7 目前Istio支持哪些部署环境?1.8 架构1.8.1 组件1.8.1.1 Envoy1.8.1.2 Pilot1.8.1.3 Citadel1.8.1.4 Galley1.8.2 设计目标2. 核心特性2.1 流量管理2.1.1 Istio 流量管理介绍2.1.2 虚拟服务2.1.2.1 为什么使用虚拟服务?2.1.2.1
【项目实战】服务网格(Istio)是一个开源的 服务网格(Service Mesh)平台,专为微服务架构设计,提供流量管理、安全、监控及策略执行等功能。
最新发布
本本本添哥
03-05 117
平台,专为微服务架构设计,提供流量管理、安全、监控及策略执行等功能。对于需要高可用性、强安全性和复杂流量管理的企业级微服务系统,Istio是目前最成熟的服务网格解决方案之一。,解决了微服务架构中的复杂性难题。Istio 是一个开源的。
Istio 服务网格进阶实战.pdf
12-26
Istio的核心概念是服务网格(Service Mesh),它作为一种基础设施层,能够为分布式微服务架构提供一种透明的通信方式。服务网格通过一组轻量级的网络代理(通常被称为“sidecar”)部署在服务之间,为服务间的通信...
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
02-01
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
Istio详解
Dusttang的博客
06-21 4463
纪念第一次写博客
微服务学习笔记 K8S、ISTIO、微服务、容器不得不说的故事
qj4865的博客
02-01 5983
微服务运行在容器内;容器依靠K8S进行编排、服务发现、负载均衡等;Istio和K8S进行融合,在利用K8S的一些功能的基础上(服务注册),对K8S进行功能的扩展,追加了一些服务治理功能(熔断、限流、动态路由、调用链追踪)。 微服务与容器 为了微服务的快速部署和迭代,如今的微服务架构中,通常将微服务部署在容器内。使用容器的好处 K8S K8S是一个基于容器技术的分布式架构方案。利用K8S,我们可以很好的对容器进行管理。 其架构如下: K8S的最基础单位是Pod,一个Pod下可以支持许多容器,Pod中的容器.
K8s / Kubernetes 从入门到入门
weixin_30802171的博客
08-23 369
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 参考:https://www.kubernetes.org.cn/k8s 转载于:https://www.cnblogs.com/baizhuang/p/11401...
Istio原理及介绍
weixin_43188769的博客
12-09 2917
Istio是啥?一文带你彻底了解! 什么是 Istio? 官方对 Istio 的介绍浓缩成了一句话: An open platform to connect, secure, control and observe services. 翻译过来,就是”连接、安全加固、控制和观察服务的开放平台“。开放平台就是指它本身是开源的,服务对应的是微服务,也可以粗略地理解为单个应用。 中间的四个动词就是 Istio 的主要功能,官方也各有一句话的说明。这里再阐释一下: 连接(Connect):智能控制服务之间的调用流
tproxy_Istio的流量劫持和Linux下透明代理实现
weixin_39938935的博客
12-30 972
一般情况下,如果一个程序需要使用代理服务器,那么需要在运行的时候设置一下参数,或者,在Linux下,大部分的程序支持http_proxy这个环境变量,设置这个环境变量,意味着程序将使用设置值作为代理。这样的问题在于,设置代理这个操作是不透明的,也就是说,客户端必须要知道代理的存在,需要手动设置将流量导入到代理,如果程序本身不支持代理,或者我们不希望执行所有程序的时候都手动设置代理,那么就需要一个相...
【云原生 | 从零开始学istio】六、istio核心功能
欢迎关注,一起进步!
11-16 1963
分布式追踪最早由谷歌的 Dapper 普及开来,它本质上是具有在微服务的整个生命周期中追踪请求的能力。分布式追踪(Distributed Tracing)主要用于记录整个请求链的信息。创作不易,如果觉得内容对你有帮助,麻烦给个三连关注支持一下我!如果有错误,请在评论区指出,我会及时更改!istio系列也算完结了,后面会补充一些k8s篇的遗漏知识点。
【云驻共创】华为云云原生之Istio控制面架构深度剖析
热门推荐
时光隧道
03-23 2万+
文章目录前言一、Istio的基本概念1.Istio诞生背景2.Istio优势 前言 本文主要介绍的内容有: Istio的基本概念 Istio整体架构及工作原理 lstio无侵入的Sidecar基本原理 Istio服务网格基本功能实现原理 一、Istio的基本概念 1.Istio诞生背景 Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。Istio 项目能够为微服务架构提供流量管理机制,同时亦为其它增值功能(包括安全性、监控、路
请求转发(forward) 和 重定向(redirect) 有什么区别 ?
m0_50888347的博客
10-24 899
java web 中 重定向 和 转发 的区别 , 以及WEB - INF目录的作用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值